كيف يمكن لـ ZTDNS من Microsoft حماية شبكة Windows؟
يعد نظام DNS أحد أضعف نقاط شبكاتنا، حيث يستخدم في الغالب بدون تشفير، وهو أمر يثير المشاكل عندما يكون DNS مسؤولا عن تحويل عناوين الويب إلى عناوين IP الخاصة بالخادم المطلوبة.
في الحال، تعتزم مايكروسوفت إجراء تعديلات على نظام Windows قد تجعل DNS أكثر أمانا ويقلل من فرصة التلاعب، باستثناء ZT-DNS.
Zero Trust DNS
كشفت شركة Microsoft عن حل جديد وشامل للأمان يعرف باسم ZTDNS (Zero Trust DNS)، الذي يهدف إلى تعزيز أمان نظام اسم المجال (DNS) داخل شبكات Windows بشكل كبير.
يعتبر DNS أساسيا لتحويل أسماء مواقع الويب إلى عناوين IP رقمية، لكنه ظل عرضة للتهديدات الأمنية لفترة طويلة.
يأتي ZTDNS ليحل هذه المشكلة من خلال توفير قنوات اتصال آمنة وموثقة بين الأجهزة العميلة وخوادم DNS، بالإضافة إلى منح المسؤولين إمكانية السيطرة الكاملة على الامتيازات التي يمكن لتلك الخوادم حصرها.
تاريخيا، كان تعزيز أمان DNS يعني في العديد من الحالات التضحية بالرؤية الإدارية لحركة مرور الشبكة.
هذا يضع مسؤولي النظام في مأزق بين DNS غير المشفر القابل للرصد ولكن يفتقر إلى الحماية، وبين DNS المشفر الذي يعمل على “إعمال الأعمى” لعمليات الرصد والتحكم.
تقوم خدمة Zero Trust DNS (ZTDNS) من Microsoft بدمج محرك Windows DNS وجدار حماية Windows مباشرة في أجهزة العميل.
يهدف هذا للتغلب على هذه التحديات وتوفير حل شامل لها.
نظام ZTDNS: الحل الأمثل لإدارة شبكاتك بكفاءة
يعمل نظام ZTDNS على منع الأجهزة العميلة من الاتصال بأي عنوان IP إلا بعناوين “خوادم DNS الواقية” المحددة.
عندما يحتاج جهاز العميل إلى حل اسم المجال، يتصل بخادم DNS الوقائي، والذي يمكنه، اختياريا، استخدام شهادات العميل للسيطرة الدقيقة على السياسة.
بعد الحل، يقوم ZTDNS بتحديث جدار حماية Windows بشكل ديناميكي للسماح بالاتصال بعناوين IP المحلو حديثا، مع منع جميع حركات المرور الأخرى افتراضيا.
ينتج عن هذا إنشاء أداة تأمين فعالة تستند إلى اسم المجال.
يمكن التفكير في هذا كسلسلة من العمليات حيث تكون النتيجة النهائية أنه لن يكون بإمكانك سوى زيارة مواقع الويب الموافق عليها مسبقا، مما يجعل البيئة أكثر أمانا.
يختلف هذا من حل ZTDNS بعدة طرق — أي أن الطريقة التي يتم بها إعداد DNS الخاص بك حاليا تعني أنه يمكنه تحليل أي عنوان URL إلى عنوان IP، حتى لو كان معروفا بأنه ضار (مع عواقب محتملة تتراوح من تنزيل البرامج الضارة إلى حتى نقطة دخول محتملة لممثل خبيث)
هناك مخاوف محتملة حول النتائج المتوقعة عند نشر تكنولوجيا Windows ZTDNS بشكل فعال.
على الرغم من أن هذا واعد لسلامتك على الإنترنت، فإنه قد يستدعي تخطيطا وتكوينا دقيقا من المسؤولين لتجنب تعطيل وظائف الشبكة العادية.
بما أن DNS ضروري للوصول إلى الإنترنت، قد يؤدي النظام الجديد إلى حجب العناصر غير الضارة التي قد تحتاج إليها.
والجيد في الأمر أن هذا لم يحدث بعد، لذا يجب استثمار بعض الوقت في فهم كيفية إعداد الأمور بشكل صحيح لتجنب تعطيل تجربتك على الإنترنت بالخطأ.
يطلب من ZTDNS دعم خوادم DNS لبروتوكولات التشفير، مثل DNS فوق HTTPS (DoH) أو DNS فوق TLS (DoT).
تسلط مايكروسوفت الضوء على أن ZTDNS لا يقدم بروتوكولات شبكة جديدة، مما يجعله متوافقا على نطاق واسع.
يتم حاليا تجربة ZTDNS في “معاينة خاصة”، وفقا لمايكروسوفت – ليس واضحا على الفور ما إذا تم اختباره داخليا فقط من قبل الشركة في الوقت الحالي أم إذا سيتمكن عدد قليل من المستخدمين المختارين من الوصول إليه.
لم تقدم مايكروسوفت أي مؤشر عن الموعد الذي قد يصبح فيه ZTDNS متاحا للجمهور، وحاليا، أعلنت الشركة للتو أن مستخدمي Windows Insider سيتمكنون من الوصول إليه في الوقت المناسب لهم، مع التخطيط لإعلان منفصل عندما يحين الوقت.
الخلاصه
في الوقت الحالي، إذا كنت تبحث عن معلومات إضافية حول ZTDNS والنقاط الرئيسية التي يجب النظر فيها قبل تنفيذ DNS الذي يعتمد على المبدأ القائم على الثقة الصفر، يمكنك قراءة المقالة الموجودة على مدونة مايكروسوفت.